Solaris 10 11/06 安装指南：基于网络的安装

在客户机上安装密钥

对于较安全的 WAN Boot 安装或带数据完整性检查的不安全安装，您必须在客户机上安装密钥。通过使用散列密钥和加密密钥，您可以保护传输到客户机的数据。您可以通过以下方式来安装这些密钥。

设置 OBP 变量－您可以在引导客户机之前，为 OBP 网络引导变量指定密钥值。然后，客户机可在将来安装 WAN Boot 时使用这些密钥。
在引导过程中输入密钥值－您可以在 wanboot 程序的 boot> 提示符下设置密钥值。如果使用此方法来安装密钥，则密钥只能用于当前的 WAN Boot 安装。

您也可以在运行中的客户机的 OBP 中安装密钥。如果希望在正在运行的客户机上安装密钥，则系统必须运行 Solaris 9 12/03 OS 或兼容的版本。

在客户机上安装密钥时，请确保密钥值未通过不安全的连接进行传输。请遵循站点的安全策略以确保密钥值的保密性。

有关如何为 OBP 网络引导参数变量指定密钥值的说明，请参见在客户机 OBP 中安装密钥。
有关如何在引导过程运行期间安装密钥的说明，请参见执行交互式 WAN Boot 安装。
有关如何在运行的客户机的 OBP 中安装密钥的说明，请参见在运行中的客户机上安装散列密钥和加密密钥。

在客户机 OBP 中安装密钥

您可以在引导客户机之前为 OBP 网络引导参数变量指定密钥值。然后，客户机可在将来安装 WAN Boot 时使用这些密钥。

要在客户机 OBP 中安装密钥，请按照以下步骤进行操作。

如果要为 OBP 网络引导参数变量指定密钥值，请按照以下步骤进行操作。

采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

显示所有客户机密钥的密钥值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
net-ip

客户机子网的 IP 地址。

client-ID

要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID，也可以是 DHCP 客户机 ID。

key-type

要在客户机上安装的密钥的类型。有效的密钥类型包括 3des、aes 或 sha1。

将显示密钥的十六进制值。

针对要安装的每个客户机密钥类型，重复上述步骤。

使客户机系统运行 0 级。
# init 0
将显示 ok 提示符。

在客户机 ok 提示符下，设置散列密钥的值。
ok set-security-key wanboot-hmac-sha1 key-value
set-security-key

在客户机上安装密钥

wanboot-hmac-sha1

指示 OBP 安装 HMAC SHA1 散列密钥

key-value

指定步骤 2 中显示的十六进制字符串。

HMAC SHA1 散列密钥安装在客户机 OBP 中。

在客户机 ok 提示符下，安装加密密钥。
ok set-security-key wanboot-3des key-value
set-security-key

在客户机上安装密钥

wanboot-3des

指示 OBP 安装 3DES 加密密钥。如果要使用 AES 加密密钥，请将此值设置为 wanboot-aes。

key-value

指定代表该加密密钥的十六进制字符串。

3DES 加密密钥安装在客户机 OBP 中。

安装密钥后，就可以安装客户机了。有关如何安装客户机系统的说明，请参见安装客户机。

（可选的）检验是否已在客户机 OBP 中设置密钥。

ok list-security-keys
Security Keys:
         wanboot-hmac-sha1
         wanboot-3des

（可选的）如果需要删除密钥，请键入以下命令。
ok set-security-key key-type
key-type

指定需要删除的密钥的类型。使用值 wanboot-hmac-sha1、wanboot-3des 或 wanboot-aes。

示例 12–2 在客户机 OBP 中安装密钥

以下示例显示了如何在客户机 OBP 中安装散列密钥和加密密钥。

显示 WAN Boot 服务器上的密钥值。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装中使用 AES 加密密钥，请将 wanboot-3des 更改为 wanboot-aes 以显示加密密钥值。

在客户机系统上安装密钥。

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。

将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上
将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上

如果在安装中使用 AES 加密密钥，请将 wanboot-3des 更改为 wanboot-aes。

继续 WAN Boot 安装

在客户机上安装了密钥后，便可通过 WAN 安装客户机。有关说明，请参见安装客户机。

另请参见

有关如何显示密钥值的更多信息，请参见手册页 wanbootutil(1M)。

在运行中的客户机上安装散列密钥和加密密钥

您可以在正在运行的系统中的 wanboot program boot> 提示符下设置密钥值。如果使用此方法来安装密钥，则密钥只能用于当前的 WAN Boot 安装。

如果要在运行中的客户机的 OBP 中安装散列密钥和加密密钥，请按照以下步骤进行操作。

开始之前

此过程进行了以下假设。

客户机系统已经打开。
可以通过安全连接访问客户机，例如安全 shell (ssh)。

采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

显示客户机密钥的密钥值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
net-ip

客户机子网的 IP 地址。

client-ID

要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID，也可以是 DHCP 客户机 ID。

key-type

要在客户机上安装的密钥的类型。有效的密钥类型包括 3des、aes 或 sha1。

将显示密钥的十六进制值。

针对要安装的每个客户机密钥类型，重复上述步骤。

在客户机上，成为超级用户或承担等效角色。

在运行中的客户机上安装必要的密钥。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value
key-type

指定要在客户机上安装的密钥类型。有效的密钥类型包括 3des、aes 或 sha1。

key-value

指定步骤 2 中显示的十六进制字符串。

针对要安装的每个客户机密钥类型，重复上述步骤。

密钥安装完毕后，就可以安装客户机了。有关如何安装客户机系统的说明，请参见安装客户机。

示例 12–3 在运行中的客户机系统的 OBP 中安装密钥

以下示例显示了如何在运行中的客户机的 OBP 中安装密钥。